html taglarını, js kodlarını temizlemek için htmlspecialchars metodunu, diğer sql saldırılarından korunmak için ise pdo (prepare - execute) yapısını kullanın hocam.
Edit: Aklıma gelmişken yazayım, csrf açıklarını unutmayalım, her zaman postumuza bir csrf token koyalım :)